不，DNSSEC 没有直接的 HSTS 等效项。不幸的是，大多数客户端不支持 DNSSEC，因此不太关心服务器的 RRSIG 记录。但是，支持 DNSSEC 的客户端将始终验证您的服务器的记录（假设您在注册商处为您的域设置提供了有效的 DS 记录）。因此，DNSSEC 不需要 HSTS 等效项，因为 DNSSEC 客户端永远不会不验证域。

以下解决方案可能无法很好地扩展，但是：

1. 在要保护的主机上设置 BIND 或类似的 DNS 解析器服务器
2. 配置它以验证 DNSSEC（最多可能需要 10 分钟）
3. 配置软件防火墙，以便只有您的 DNS 服务器可以查询上游 DNS 服务器
4. 可选择使用可以显示 DNSSEC 状态的浏览器插件

您可以将以下架构更改为企业解决方案，在其中设置网络上的 DNS 服务器，并在边缘防火墙上阻止来自不是您的 DNS 服务器的 IP 地址的 DNS 请求。并假设您的网络可以信任。